Policy för rapportering av sårbarheter
1. Inledning
Trading Point Group (nedan kallat "Trading Point") inser att det finns ett behov av att samverka med cybersäkerhetsaktörer för att skydda kunddata och samarbeta för att skapa säkrare lösningar och applikationer. Denna policy syftar till att ge säkerhetsexperter tydliga riktlinjer för hur arbetet med att upptäcka sårbarheter ska utföras samt informera om hur vi önskar bli informerade om upptäckta sårbarheter.
Experter får gärna frivilligt rapportera de sårbarheter de kan hitta i anslutning till Trading Points olika system. I denna policy beskrivs vilka system och analyskategorier som omfattas av denna policy och hur man ska lämna in sårbarhetsrapporter till oss.
Inlämningen av sårbarhetsrapporter omfattas av de villkor som anges på denna sida. Genom att lämna in en sårbarhetsrapport till Trading Point bekräftar experterna också att de har läst och godkänt dessa villkor.
2. Villkor
2.1. Safe harbor/tillstånd
Vid en sårbarhetsanalys, som utförs med gott uppsåt i enlighet med denna policy, anser vi att din analys är:
Tillåten sett till eventuell tillämplig antihackningslagstiftning och vi kommer inte att rekommendera eller vidta rättsliga åtgärder mot dig för din analys.
Tillåten sett till eventuell relevant lagstiftning mot kringgående och vi kommer inte att resa krav mot dig för kringgående av teknikkontroller.
Laglig, bidragande till övergripande internetsäkerhet samt utförd med gott uppsåt.
Du förväntas följa all tillämplig lagstiftning. Om tredje part vidtar rättsliga åtgärder mot dig för aktiviteter som du har utfört med gott uppsåt i enlighet med denna policy, kommer vi att informera om detta tillstånd.
Om du någon gång har betänkligheter eller känner dig osäker på om din säkerhetsanalys är förenlig med denna policy, ber vi dig att lämna en rapport via någon av våra officiella kanaler (som anges här nedan) innan du fortsätter.
Observera att safe harbor enbart gäller för rättsliga anspråk som kontrolleras av den organisation som utgör part till denna policy samt att policyn inte är bindande för oberoende tredje part.
2.2. Riktlinjer
Med "analys" avses i denna policy aktiviteter där du gör följande:
Underrättar oss så snart som möjligt när du har upptäckt ett faktiskt eller potentiellt säkerhetsproblem.
Gör ditt yttersta för att undvika integritetsintrång, försämringar av användarupplevelsen, störningar i produktionssystem samt radering eller manipulation av data.
Enbart använder exploits i den omfattning som krävs för att bekräfta att det föreligger en sårbarhet och inte använder exploits för att skada eller exfiltrera data, upprätta ständig åtkomst till kommandotolken eller pivotera till andra system.
Du uppmanas även att göra följande:
Följa reglerna, inbegripet denna policy och eventuella andra relevanta avtal. Om det förekommer några skillnader mellan denna policy och andra tillämpliga villkor, ska villkoren i denna policy ha företräde.
Enbart interagera med dina egna testkonton.
Begränsa antalet skapade konton till max två (2) konton för testning.
Enbart använda officiella kanaler för att rapportera och/eller diskutera sårbarhetsinformation med oss.
Lämna en rapport per sårbarhet, om du inte behöver länka sårbarheter för att visa på påverkan.
På ett säkert sätt radera alla data som har hämtats under analysen när rapporten är lämnad.
Utföra testning enbart på de system som omfattas samt respektera system och aktiviteter som inte omfattas.
Undvika att använda invasiva eller automatiserade skanningverktyg med hög intensitet för att hitta sårbarheter.
Inte offentliggöra någon sårbarhet utan att Trading Point först har lämnat skriftligt samtycke.
Inte utföra denial-of-service-attacker.
Inte utföra social manipulering och/eller fysiska säkerhetsattacker mot Trading Points kontor, användare eller anställda.
Inte utföra automatiserad/skriptad testning av webbformulär, särskilt kontaktformulär som är utformade för att kunder ska kontakta vårt kundupplevelseteam.
Om du har fastställt att det föreligger en sårbarhet eller oavsiktligt har stött på känsliga data (däribland personligt identifierande information (PII), finansiell information, äganderättsligt skyddad information eller handelshemligheter för någon part), måste du upphöra med ditt test, omedelbart underrätta oss och inte röja dessa data för någon annan. Du bör även begränsa din åtkomst till minsta möjliga antal data du behöver för att på ett effektivt sätt kunna visa att konceptet håller.
2.3. Rapportering av sårbarhet/officiella kanaler
Rapportera säkerhetsproblem/faktiska eller potentiella säkerhetsfynd via vulnerability.disclosure@xm.com och lämna all relevant information. Ju fler detaljer du lämnar, desto lättare blir det för oss att klassificera och åtgärda problemet.
För att hjälpa oss att klassificera och prioritera inkomna uppgifter rekommenderar vi att dina rapporter:
Beskriver plats eller applikationsväg där sårbarheten upptäcktes och potentiell påverkan av ett utnyttjande.
Ger en detaljerad beskrivning av de steg som behövs för att reproducera sårbarheten (här är det till hjälp med skript eller skärmbilder som visar att konceptet håller).
Innehåller så mycket information som möjligt.
Innehåller den IP-adress som du genomfört testningen från, e-postadress, användaragent och vilket/vilka användarnamn som använts i tradingplattformen (i förekommande fall).
Om möjligt är skrivna på engelska.
Om du bedömer att sårbarheten är allvarlig eller omfattar känslig information, kan du skicka ett PGP-krypterat mejl till vårt team med hjälp av vår PGP-nyckel.
Android-app
XM Android-applikation (com.xm.webapp)
iOS-app
XM iOS-applikation (id1072084799)
b) System/tjänster som inte omfattas:
Alla tjänster (t.ex. anslutna tjänster), system eller domäner som inte uttryckligen anges under "System/tjänster som omfattas” ovan är uteslutna från omfattningen och inte godkända för testning. Eventuella sårbarheter som hittas i system från våra leverantörer omfattas inte av denna policy och bör rapporteras direkt till leverantören i enlighet med dennes (eventuella) rapporteringspolicy. Om du är osäker på om ett system omfattas eller ej, kontakta oss på vulnerability.disclosure@xm.com.
c) Sårbarheter som omfattas:
SQL-injektion
Cross-Site Scripting (XSS)
Kodexekvering på distans (RCE)
Förfalskning av förfrågningar på serversidan (SSRF)
Bristande autentisering och sessionshantering
Osäker direkt objektreferens (IDOR)
Exponering av känsliga data
Traversering av filsystem/sökväg
Local/remote file inclusion-attack
Förfalskning av förfrågningar mellan webbplatser (CSRF) med påvisbar hög påverkan
Öppen omdirigering vad gäller känsliga parametrar
Övertagande av underdomän (lägg i så fall till ett vänligt meddelande, t.ex. "Vi arbetar med detta och är snart tillbaka.")
d) Sårbarheter som inte omfattas:
Vissa sårbarheter anses ligga utanför omfattningen för programmet för rapportering av sårbarheter. Här följer en icke-uttömmande uppräkning av sårbarheter som ej omfattas:
Problem med e-postkonfigurering, inklusive SPF-, DKIM- och DMARC-inställningar
Clickjacking-sårbarheter som inte leder till känsliga åtgärder, t.ex. kontomodifiering
Self-XSS (dvs. där en användare skulle behöva luras att klistra in kod i sin webbläsare)
Content spoofing som leder till minimal påverkan (t.ex. textinjektion som inte avser HTML)
Förfalskning av förfrågningar mellan webbplatser (CSRF) som leder till minimal påverkan (t.ex. CSRF i inloggnings- eller utloggningsformulär)
Öppen omdirigering – om inte ytterligare säkerhetspåverkan kan uppvisas
CRLF-attacker som leder till minimal påverkan
Host header-injektion som leder till minimal påverkan
Avsaknad av HttpOnly- eller Secure-flaggor för icke-känsliga cookies
Avsaknad av bästa praxis för SSL/TLS-konfigurering och -kryptering
Avsaknad eller felkonfigurering av HTTP-säkerhetshuvuden (t.ex. CSP, HSTS)
Formulär som saknar CAPTCHA-kontroller
Enumeration av användarnamn/e-postadress via Login Page-felmeddelande
Enumeration av användarnamn/e-postadress via Forgot Password-felmeddelande
Problem som kräver osannolik användarinteraktion
Lösenordskomplexitet eller annat problem som rör konto- eller lösenordspolicyer
Avsaknad av sessionstimeout
Brute force-attacker
Problem som rör hastighetsbegränsning för icke-kritiska åtgärder
WordPress-sårbarheter utan styrkt utnyttjbarhet
Rapportering som rör sårbar programvaruversion utan styrkt utnyttjbarhet
Varje aktivitet som skulle kunna leda till störning av vår tjänst (DoS)
Avsaknad av rootskydd/kringgående av rootskydd (mobilapplikationer)
Avsaknad av SSL-certifikatpinning/kringgående av SSL-certifikatpinning (mobilapplikationer)
Avsaknad av kodförvrängning (mobilapplikationer)
2.5. Responstider
Trading Point förbinder sig att så öppet och snabbt som möjligt utföra samordning med dig och kommer att göra sitt yttersta för att uppfylla följande responsmål för experter som deltar i vårt program:
Tid till första respons (räknat från dagen då rapporten lämnades) är tre (3) affärsdagar. Inom tre affärsdagar kommer vi att bekräfta att din rapport är mottagen.
Tid till triagering (räknat från dagen då rapporten lämnades) är fem (5) affärsdagar.
Vi kommer att bekräfta förekomst av sårbarheter för dig efter bästa förmåga och vara så transparenta som möjligt om vilka åtgärder vi vidtar för att komma till rätta med det hela samt vilka problem eller utmaningar som kan fördröja vårt arbete. Vi kommer att eftersträva att hålla dig underrättad om hur vårt arbete fortskrider under hela processen.
3. Belöningar
Vi sätter stort värde på dem som lägger tid och arbete på att rapportera säkerhetssårbarheter i enlighet med denna policy. I nuläget erbjuder vi dock inga belöningar för säkerhetsrapportering. Detta kan komma att förändras framöver.
4. Återkoppling
Om du vill lämna återkoppling eller förslag rörande denna policy, kontakta oss via vulnerability.disclosure@xm.com.
Tack för att du hjälper oss att skydda Trading Point och våra användare.
5. Fingeravtryck för PGP-nyckel
F096 4A0E CA36 A301 18DF A742 DE89 DE1C 5283 013F
Obs: Var vänlig kryptera dina meddelanden med PGP-nyckeln ovan och inkludera din egen offentliga nyckel i mejlet.